32 - AS/400 - Un dinosaurio plenamente activo - 06/05/2006


Autor: Lic. María Solange D'Antuono

http://www.segu-info.com.ar

Muchas veces me han dicho que los equipos estilo AS/400 (o iSeries) de IBM pertenecen al pasado, son dinosaurios, en extinción. Recorriendo los pasillos de diferentes empresas, me he encontrado con esta robusta tecnología sustentando la base de información de más de una gerencia. Es por eso que hemos decidido dedicarle un apartado, tratando de hacer llegar a los participantes los conceptos generales y de seguridad iniciales de la querida AS/400.

Nuestro primer capítulo, si bien básico, intentará presentar en sociedad una tecnología que para muchos, es de otros tiempos. Y sin embargo posee una robustez y facilidades de seguridad dignas de mención.

Que es un AS/400 (iSeries i5)

El significado de AS/400 es "Application System/400". Es un sistema integrado de hardware, software, seguridad, base de datos y comunicaciones entre otros. Perteneciente a la rama de equipos denominados "middlerange", debido a que son el intermedio entre "mainframes" y servidores comunes tipo Wintel. Posee un sistema operativo propietario, el OS/400(R), basado en objetos.

Actualmente el equipo ha cambiado de nombre para pasar a llamarse i5 y el sistema operativo es el i5/OS(R), aprovechando la tecnología de procesadores POWER5 de IBM (Power Optimization With Enhanced RISC).

Dentro de sus distinciones principales, está la capacidad de separar hardware de software, mediante una interfaz de máquina MI. La MI es una API (Application Programming Interface - Interfaz de Programación de Aplicaciones) que permite que el sistema operativo y los programas de aplicaciones se aprovechen de los avances en hardware sin tener que recompilarlo, alcanzando la independencia del software. Las funciones de manejo de memoria, proceso, programa y administración de I/O las realiza el código interno licenciado (LIC). EL LIC es el software del sistema operativo que se ejecuta por debajo de la MI.

Los equipos permiten correr otros sistemas en particiones secundarias, como Linux, Unix o Windows, teniendo en cuenta que la partición principal siempre será la i5/OS.

Objetos

En el i5 todo lo que puede almacenarse o recuperarse es un "objeto". Existen más de 50 tipos de objetos, como bibliotecas, archivos, programas ejecutables, colas de trabajo, colas de salida, perfiles de usuario. Por ejemplo:

  • LIB: Bibliotecas
  • FILE: Archivos
  • PGM: programas ejecutables
  • OUTQ: Colas de salida

El concepto de objeto permite establecer mecanismos de protección altamente complejos, sobre todo a nivel de gestión de autorizaciones sobre cada objeto.

Los objetos tiene atributos que incluyen:

  • Dueño del objeto
  • Fecha de creación
  • Fecha de último acceso
  • Fecha de último salvado (backup)
  • Comando utilizado para el salvado
  • Datos de la cinta de salvado
  • Etiqueta de la cinta
  • Número de secuencia
  • Tamaño

Bibliotecas (*LIB)

Son objetos contenedores de otros objetos de cualquier tipo MENOS otra biblioteca, dado que utiliza una jerarquía de "single-level". Debido a ésta característica, dos usuarios no pueden poseer bibliotecas con el mismo nombre, por ejemplo.

Sólo la biblioteca QSYS provista por el sistema, contiene al resto de las bibliotecas.

Cada objeto tiene un nombre, compuesto por el nombre de la biblioteca y el nombre del objeto mismo. A esto se lo llama "Qualified name". Por ejemplo: tenemos el objeto PRUEBA en la biblioteca MILIB. Si quisiera llamar a ese objeto, debería llamarlo por su nombre cualificado: "MILIB/PRUEBA" Los objetos cuya denominación empieza con "Q" son provistos por IBM. Es recomendable no crear objetos nuevos con "Q" como inicial. Veremos en artículos posteriores las consideraciones de seguridad al respecto.

Archivos (*FILE)

Objeto que contiene datos, pueden ser de una base de datos (archivos físicos y archivos lógicos), datos de un dispositivo o registros relacionados.

Los archivos físicos corresponden a datos reales, organizados en un sistema fijo de campos. Cada archivo físico tiene una parte a la cual se le asocia cualidades como el nombre del archivo, el dueño, el tamaño, el número de registros. La segunda parte de un archivo físico contiene los datos.

Existen distintos tipos de archivos físicos:

  • de datos (atributo PF-DTA)
  • de fuente (atributo PF-SRC)

Los archivos lógicos contienen índices que permiten acceder a los archivos físicos en un formato diferente a la forma en la cual se encuentra almacenado dicho archivo.

Programas (*PGM)

Son objetos del tipo "programas" compilados para que puedan correr en el sistema. El atributo del programa tendrá el lenguaje en el cual se compiló.

Subsistemas

Son objetos del tipo "programas" compilados para que puedan correr en el sistema. El atributo del programa tendrá el lenguaje en el cual se compiló.

Es un entorno operativo simple predefinido a través del cual el sistema coordina flujo de trabajos y recursos. Cada trabajo, cuando se inicia, es asignado a un subsistema. Dentro del i5 pueden convivir uno o más subsistemas.

Un objeto "subsystem description" define el tipo de ambiente que necesitan los trabajos para correr en forma eficiente.

IBM predefine en el i5 algunos "subsystem description".

Por defecto, la configuración básica es:

  • QBASE
  • QSYSWRK
  • QSPL

También existe una forma más compleja de configuración:

  • QCTL
  • QSYSWRK
  • QINTER
  • QBATCH
  • QCMN
  • QSERVER

No entraremos en el detalle de cada configuración, ya que nuestro objetivo es introducirlos en los conceptos básicos del i5, para así poder hablar de la seguridad del equipo.

Hasta aquí dejamos por hoy. En las próximas entregas estaremos hablando de conceptos sobre comandos CL, parámetros básicos, usuarios, y configuraciones que nos permitan asegurar un i5.


Más Información:

IBM

http://www-03.ibm.com/systems/i/

http://www-03.ibm.com/servers/eserver/support/iseries/

http://publib.boulder.ibm.com/infocenter/iseries/v5r3/index.jsp

Manuales de Operación y Administración AS400

Recursos AS/400

http://www.recursos-as400.com/

Buenos Aires, 06 de mayo de 2006

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto